Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Ik heb een klein hostingbedrijf, en heb met name webwinkels als klanten. Nu wees iemand me er laatst op dat een klant zich niet aan de wet houdt: hij vermeldt niet zijn adres en KVK nummer op de site. En die iemand meldde dat ik nu verplicht was die shop offline te halen. Klopt dat?

Een internet- of hostingprovider is niet aansprakelijk voor inhoud die zijn klanten plaatsen, mits ze zich niet met de inhoud bemoeien en mits ze optreden wanneer er klachten binnenkomen die “onmiskenbaar juist” zijn. Dus niet “kan kloppen” of “klinkt redelijk” of “na inwinnen van juridisch advies blijkt het te kloppen”, en al helemaal niet “nadat de rechter vonnist dat het juist is”, maar “je moet gewoon meteen weten dat dit klopt”.

Notice en takedown, zoals dit heet, wordt vaak geassocieerd met auteursrechten. Dat komt met name omdat vooral auteursrechthebbenden zulke notices sturen, hoewel ook een belangrijke factor is dat in Amerika alleen auteursrechten een grond kunnen zijn voor notice en takedown (dit op grond van de DMCA). Maar bij ons is elke vorm van onrechtmatig handelen in principe een grond voor een dergelijke notice, mits het handelen maar onmiskenbaar tegen de wet is.

En het klopt dat een webwinkel zijn naam, vestigingsadres, KVK- en BTW-nummers op de site moet hebben staan (art. 3:15d en 7:46c BW). Wie zich daar niet aan houdt, pleegt zelfs technisch gesproken een strafbaar feit - het weglaten van die informatie is een economisch delict (art. 1(1) Wed, voor 3:15d dan). Als je het opzettelijk weglaat, pleeg je een misdrijf; doe je het per ongeluk dan is het “slechts” een overtreding.

In de praktijk wordt dit artikel alleen gehandhaafd wanneer een bedrijf toch al de pineut is, bij bijvoorbeeld een optreden van de Consumentenautoriteit. Het gaat dan mee op het lijstje van de bestuurlijke boetes. Maar goed, dat neemt niet weg dat het een wetsovertreding is om die informatie niet te hebben, dus een klacht daarover lijkt me iets om mee aan de slag te gaan als hoster.

Het is mogelijk dat de klant een legitieme reden heeft om de informatie niet te plaatsen, dus ik zou niet meteen overgaan tot het op zwart zetten van de site. Wel zou ik de klant de klacht doorsturen en vragen waarom hij de wet niet naleeft. Komt er dan niets, dan moet je iets doen als hoster.

Maar wat? De hele shop op zwart lijkt me disproportioneel bij zo’n formele overtreding, maar het is het enige dat ik kan bedenken dat je zou kunnen doen. Een specifieke pagina weghalen is immers niet mogelijk (welke dan?) en zelf die informatie op de contactpagina invoegen is al helemaal ondenkbaar.

Arnoud

Het cookieicoon is leuk, maar wie zich aan de nieuwe privacywet wil gaan houden heeft er niets aan. Dat is ongeveer de samenvatting van het advies dat de Europese privacytoezichthouders (pdf) vorige week uitbrachten.

Al een hele tijd wordt er gesteggeld over de nieuwe privacywet, met name op het gebied van cookies. Doel van de nieuwe privacyrichtlijn is namelijk onder meer het tracken en profilen van burgers aan banden te leggen. Daar is straks altijd toestemming voor nodig, ook (juist!) als dat langs indirecte weg gebeurt. Precies, via cookies dus.

Wie de privacyrichtlijn letterlijk leest - en zeker het Nederlandse wetsvoorstel dat erop gebaseerd is - ziet dat het er eigenlijk op neerkomt dat je voor elk cookie toestemming moet vragen als dat cookie ingezet wordt bij profiling of tracking. En dat gaat dus niet werken.

De marketingbranche heeft een alternatief ontwikkeld, en wel het icoon rechtsboven. Dit komt dan op of bij een advertentieblokje te staan. Wie zo’n advertentie ziet, kan op het icoon klikken en gaat dan naar Your Online Choices, waar hij kan zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt.

Volgens de privacytoezichthouders is dit echter absoluut onvoldoende. Ten eerste snapt op dit moment niemand wat dat icoon betekent, dus je wordt niet (zoals wettelijk vereist) adequaat geïnformeerd over wat er allemaal gebeurt. Ten tweede wordt alleen gesproken van “advertenties” terwijl er eigenlijk “gepersonaliseerde advertenties” zou moeten staan.

Maar, het allerbelangrijkste: zo’n icoon is natuurlijk een opt-out terwijl de wet een opt-in eist. Je bent al gedragsmatig geprofileerd tegen de tijd dat je dat icoon ziet, en daar heb je op dat moment nog geen toestemming voor gegeven.

Daar is natuurlijk wel een draai aan te geven: toon eerst alleen generieke advertenties, en bied het icoon als optie om expliciet het profileren/tracken aan te zetten zodat je alleen nog maar relevante advertenties kunt zien. Maar is “geen Libresseadvertenties meer voor mannen” genoeg incentive om naar zo’n site te gaan?

Nog even afgezien van het praktische punt dat de opt-out op die site niet adequaat blijkt te werken, en dat als ie dat wél doet mensen (net als bij het Bel-me-nietregister) massaal gaan opt-outen zonder aanziens des persoonsadvertentienetwerks zodat dan effectief het hele targeted advertising op z’n gat gaat.

Hebben jullie jezelf al ontvolgd op Your Online Choices? Of juist expliciet een volging aangezet?

Arnoud

Ok, argh. Heb je net een half jaar besteed aan uitleggen hoe de Wet Van Dam in elkaar steekt en een hoop in paniek geraakte klanten uitgelegd wat er nog wél kan, gaat ineens het hele ding op de schop. Althans, het reparatiewetje is aangehouden vanwege “nieuwe informatie” over de betekenis van de Overgangswet Nieuw BW. En dus gaan alle bedrijven nu roepen dat de Wet Van Dam is uitgesteld.

Om maar met dat laatste te beginnen: nee, dat is niet waar, de Wet Van Dam is en blijft per vandaag van kracht. Een contract met stilzwijgende verlenging dat vanaf nu wordt aangegaan is alleen nog rechtsgeldig als dat na die verlenging op elk moment met een maand kan worden opgezegd. En dus zonder kosten of boetes.

Het discussiepunt zit hem in hoe de wet nu geldt voor al eerder aangegane contracten. Want hoewel Van Dam bij invoering in de memorie van toelichting had gezegd

Deze wijziging voorziet niet in overgangsrecht. Daardoor is deze wijziging ook van toepassing op reeds gesloten overeenkomsten.

werd er in de afgelopen maanden toch flink geroepen dat er wél overgangsrecht geldt. Er is immers de Overgangswet Nieuw Burgerlijk Wetboek, die in 1969 (ja, 69) is aangenomen om de overgang van het ‘oude’ BW naar wat we nu hebben mogelijk te maken. In die wet werd geregeld hoe de nieuwe wet zou uitpakken voor bestaande contracten en andere zaken. Prima, dat was nodig destijds, maar is die wet werkelijk ook geldig voor álle wijzigingen van het BW die na 1969 doorgevoerd werden?

Natuurlijk, roepen alle uitgevers en sportschoolhouders, want die Overgangswet is een essentieel deel van de democratische samenleving. Wij moeten ons immers kunnen voorbereiden op de nieuwe wet, en een rechtsgeldige overeenkomst met eerlijk stilzwijgend gesloten verlenging van een jaar kan toch niet zomaar worden aangetast door een nieuwe wet?

Mijn sarcastische toon maakt wel duidelijk dat ik vind dat dit een onhoudbaar standpunt is. En gelukkig bleek prof. Loos het met me eens toen hij in een gastblog hier schreef

Het lijkt dan ook in strijd met de uitdrukkelijke bedoeling van de wetgever om na de uitgestelde werking van een jaar, aan de uitgevers op basis van het overgangsrecht een extra termijn van een jaar toe te kennen. Het moge zo zijn dat gezien het ontbreken van een aanpassing van art. 191 Overgangswet NBW deze wet zich verzet tegen directe toepasselijkheid van de nieuwe bepalingen van de zwarte en grijze lijst op bestaande abonnementen. Niets verzet zich echter tegen anticiperende interpretatie van art. 6:233 sub a BW. Sterker nog: gezien de onmiskenbare bedoeling van de wetgever lijkt mij een dergelijke anticiperende interpretatie nogal voor de hand liggen.

Van Dam introduceerde vervolgens een reparatiewetje om nog eens expliciet die Overgangswet buiten toepassing te verklaren, maar verwees daarbij uitsluitend naar artikel 191. Dat artikel bepaalt dat je pas een jaar na inwerkingtreding van de wet je kunt beroepen op enige bepaling daaruit voor bestaande contracten. De reparatiewet zou dit artikel uitschakelen, zodat vast zou staan dat je ook bij bestaande contracten de Wet Van Dam kunt inroepen.

Otto Volgenant van Kennedy Van der Laan wees erop dat er óók nog een artikel 79 is, dat zegt dat reeds aangegane verlengingen niet kunnen worden opgezegd met een beroep op de Wet Van Dam. En dat artikel werd dus niet genoemd in de reparatiewet.

Waarom precies Van Dam de reparatiewet nu heeft aangehouden, kan ik niet zeggen. Het plaatst ons nu wel in een lastige situatie.

Enerzijds is goed verdedigbaar dat die expliciete zin uit de memorie van toelichting duidelijk maakt dat er géén overgangsrecht geldt, ook niet op grond van die Overgangswet. Iedereen had dit een jaar geleden kunnen zien aankomen, dus niet meer piepen nu.

Anderzijds was die reparatiewet kennelijk ergens voor nodig, en het openbreken van bestaande stilzwijgende verlengingen is iets waar uitgevers niet op hoefden te rekenen vanwege die overgangswet uit 1969.

Veel bedrijven waren zich al aan het voorbereiden op de Wet, en hebben zelfs hun voorwaarden al aangepast. Ik verwacht niet dat ze dat nu weer terug gaan draaien. Maar er zullen genoeg bedrijven zijn die nu nog hun oude voorwaarden hanteren en dat dus vrolijk in 2012 blijven doen - en mogelijk in 2013 ook nog, met een beroep op die overgangswet.

Buitengewoon frustrerend allemaal. Want ik verwacht niet dat er veel consumenten nu naar de rechter gaan stappen, en de Consumentenautoriteit lijkt in dezen ook niet echt een consumentvriendelijke interpretatie van de wet in te nemen. Grmbl.

Arnoud

Twitter moet persoonsgegevens van drie personen betrokken bij Wikileaks, waaronder de Nederlandse hacker Rop Gonggrijp, aan de Amerikaanse justitie overhandigen. Dat meldde Webwereld vrijdag. Dit in verband met dat het onderzoek naar het openbaren van de legervideo ‘Collateral Murder’.

In principe lijkt dit te mogen. Het privacybeleid van Twitter vermeldt expliciet

Law and Harm: We may preserve or disclose your information if we believe that it is reasonably necessary to comply with a law, regulation or legal request; to protect the safety of any person; to address fraud, security or technical issues; or to protect Twitter’s rights or property.

en in dit geval was er een gerechtelijk bevel, dat zelfs in hoger beroep getoetst en bevestigd werd. Aan de letter van de (Amerikaanse) wet is dus voldaan. In strijd met Europese privacyregels lijkt me dit niet. Hoewel er zeker dubieuze aspecten in met name de USA PATRIOT ACT staan, lijkt het hier volgens dezelfde soort regels te zijn gegaan als bij ons: opsporingsdienst verzoekt rechtbank om toestemming, rechtbank toetst aan de wet en staat toe.

De gebruikte regel (18 USC 2703(d)) is wel erg breed: het bevel mag ook tegen niet-verdachten gericht zijn en meer dan een “redelijke grond” voor de doorzoeking is niet nodig. Dit in tegenstelling tot een huiszoeking, die in de VS “probable cause” vereist, een hogere standaard. Dus als je redelijkerwijs mag denken dat deze twitteraar wellicht iets te maken heeft met een misdrijf, dan kun je zijn naam, adres, e-mailadres, IP-adres etcetera opvragen bij Twitter.

Maar die regel in de VS is strenger dan bij ons: in Nederland mag elke agent, zonder zelfs maar een officier van justitie te hoeven bellen, naam en adresgegevens (plus IP-adres en dergelijke) opvragen van gebruikers van een dienst (art. 126nc en 126na Strafvordering, plus 13.4 Telecomwet). Pas als er gespit gaat worden in mailboxen of meegelezen wordt met chats, is er een officier van Justitie nodig (art. 126nd en 126ne Strafvordering, bij niet heel ernstige misdrijven is de rechter-commissaris nodig).

Wat wel bevreemdt is dat het hier gaat om personen die niet allemaal Amerikanen zijn. Naast onze Rop betreft het ook de IJslandse parlementariër Birgitta Jonsdottir. Zij reageerde woedend:

We have to have the same civil rights online as we have offline. Imagine if the US authorities wanted to do a house search at my home, go through my private papers. There would be a hell of a fight. It’s absolutely unacceptable.

Ik snap het punt maar volgens mij is haar vergelijking niet helemaal juist. Men doorzoekt niet haar huis in IJsland, men doorzoekt in deze analogie haar vakantiebungalow in Californië, of misschien moet ik zeggen haar postbus in Californië. Want het gaat om een Amerikaanse dienst met opgeslagen data in de VS. Het lijkt me dan iets logischer dat de Amerikaanse justitie vindt dat ze daar wat over te zeggen heeft.

Veel zorgelijker vind ik het idee dat we Nederlanders zouden uitleveren op basis van een onderzoek als dit.

Arnoud

Een lezer wees me op een opmerking die ik in mei maakte:

@Ward: niemand is verplicht om te leveren aan iemand. Wehkamp kan dus prima weigeren aan niet-Nederlanders te verkopen. (Uitzondering, misschien, als bedrijf een economische machtspositie heeft.) En ook mag je de voorwaarden aanpassen op grond van het woonland van je klant - zolang je dus maar geen dwingend recht uit dat land doorkruist.

Deze uitspraak blijkt niet helemaal (ahem) te kloppen, zo ontdekte de lezer. Want op de site van de Europese Commissie wordt gemeld dat het illegaal is om kopers uit andere EU-landen te weigeren. Ook mag je bezoekersniet te mogen redirecten naar de lokale versie van een webwinkel in een ander EU-land, zelfs niet hun eigen land. Je mag bijvoorbeeld Duitsers dus niet automatisch doorverwijzen naar de Duitse versie van je webwinkel.

De EC is inderdaad nogal stellig:

Internetwinkels in de EU mogen niet weigeren te verkopen aan klanten in een ander EU-land.

Als ik dan even doorklik, dan blijkt dit gebaseerd te zijn op de Dienstenrichtlijn. Deze vermeldt in de overwegingen een uitleg hierover:

Het discriminatieverbod op de interne markt houdt in dat een afnemer, en met name een consument, de toegang tot een aan het publiek aangeboden dienst niet op grond van zijn nationaliteit of verblijfplaats mag worden ontzegd of beperkt, wanneer dat als criterium is opgenomen in de voor het publiek toegankelijke algemene voorwaarden.

In artikel 20 staat dan ook een regel dat voor een afnemer geen discriminerende eisen op grond van zijn nationaliteit of verblijfplaats mag gelden. Een leverancier van zo’n dienst mag die dus niet stellen. Als er objectieve criteria zijn (bijvoorbeeld te hoge leverkosten of technische beperkingen waardoor levering zo goed als onmogelijk is), dan mag leveringsweigering wel. Ook mag men dan hogere prijzen hanteren.

Wat me dan weer wel verbaast, is dat dit een diensten-richtlijn is terwijl de hierboven geciteerde tekst over ‘winkels’, oftewel leveranciers van producten en niet diensten gaat. Ik kan niet vinden waar ook productleveranciers verplicht zijn tot levering binnen de gehele EU. Het zou goed kunnen, het discriminatieverbod is een generiek verbod en op zich dus niet tot dienstverlening beperkt. Maar ik had altijd gedacht dat dit verbod richting de overheid gold, zodat deze niet mogen verbieden dat bedrijven leveren buiten hun eigen land.

Wél echt fout op die pagina is de verwijzing naar “muziek”, want de dienstenrichtlijn sluit expliciet audiovisuele diensten uit. En levering van streaming of downloadable muziek lijkt me toch echt een audiovisuele dienst. Oftewel, Youtube’s irritante “Niet beschikbaar in uw land” is legaal maar TomTom mag niet weigeren haar digitale fileupdatedienst te leveren aan Italiaanse automobilisten.

Arnoud
Foto: Fotoalbum van F.W. Haagedoorn.

Bij consumentenzaken is het zoeken naar jurisprudentie, want wie gaat er nou procederen over een relatief laag bedrag? Maar dankzij een zekere online fietsenwinkel die het wel vaker op procedures aan laat komen, hebben we er weer eentje bij: een winkel mag niet eisen dat de consument 100% vooruitbetaalt wanneer deze iets wil laten bezorgen.

Een consument had bij deze winkel via internet een Redy freestyler X-ray Booster 20 (dat is een fiets) gekocht voor 159 euro, op zich een gebruikelijke prijs. Na het plaatsen van de bestelling ging er iets mis in de communicatie, want het eerstvolgende ontvangen bericht was een aanmaning tot betaling van het volledige bedrag. De koper reageerde dat hij éérst de fiets wilde, en dan het geld. De winkel wilde eerst het geld en dan de fiets.

De voorwaarden van het bedrijf bepalen:

Betaling dient … of vooraf voor verzending te geschieden, op een door Gebruiker aan te geven wijze in de valuta waarin is gefactureerd, tenzij schriftelijk anders door Gebruiker aangegeven.

en op die grond stapte het bedrijf naar de rechter. Ok, moest dat nu echt, denkt u misschien, maar ik vind het wel handig: nu krijgen we een rechterlijke uitspraak over of dat wel mag, eisen dat mensen vooruit betalen.

Nee, dat mag niet.

De rechter verwijst droogjes naar de wet, artikel 7:26 BW, dat met zoveel woorden bepaalt dat vooruitbetaling van het gehele bedrag niet mag worden geëist. Althans, niet in algemene voorwaarden. Wie expliciet met de winkel afspreekt dat vooruitbetaling ok is, zit daaraan vast. Maar wie alleen in de kleine lettertjes terugvindt dat hij alles vooruit moet betalen, kan met de toverformule “Bij deze vernietig ik uw artikel 6 wegens strijd met dwingend recht” daar van afkomen.

Oh, even voor de duidelijkheid: het is natuurlijk wél legaal om een vooruitbetaaloptie te bieden voor mensen die dat prettig vinden. Zo lang er maar minstens één manier is om achteraf te kunnen betalen.

Natuurlijk is er wel nog steeds een koopcontract, dus de koper zal moeten betalen. Maar dat hoeft hij pas nadat de fiets geleverd is. Wel mag de koper tot en met zeven werkdagen na ontvangst de koop annuleren, zodat hij zijn betaling terug kan krijgen. Hoe dit gaat uitspelen, mag u zelf invullen. En waarom dit bedrijf met zo’n duidelijke wetstekst toch een procedure is gestart, is me een raadsel. Maar dat dacht ik na de TROS Radar-uitzending over het bedrijf ook.

Arnoud

Een lezer vroeg me:

Ik ben officieel dealer van enkele exclusieve badproducten. Sinds kort heb ik een aparte webwinkel daarvoor opgezet, met de merknaam plus het woord “winkel” in de .nl domeinnaam. Nu kreeg ik van de week een brief van de advocaat van de importeur dat ik binnen 48 uur de domeinnaam moet afgeven, omdat dit merkinbreuk zou zijn. Doe ik dat niet, dan zeggen ze mijn dealercontract per direct op! Kan dat zomaar?

Het gebruik van een merk in je domeinnaam mag als wederverkoper. Daarvoor hoef je geen officieel dealer te zijn: ook als je de producten betrekt via parallelle import van binnen de Europese Unie, handel je legaal en mag je de merknaam gebruiken.

Een belangrijke eis is wel dat je geen verwarring sticht over je relatie tot de merkhouder (zoals Just-Eat ooit deed). Het moet volstrekt duidelijk zijn dat je ’slechts’ een verkoper bent. Ben je dealer, dan mag je dat natuurlijk melden. Als vuistregel adviseer ik daarbij om altijd de eigen naam het meest prominent te tonen: niet “Welkom bij de Grohe Kranenshop” maar “Welkom bij Jansen Installateur, uw Grohe-specialist.”

Of je nu dus dealer bent of niet, je mag de merknaam gebruiken en je mag dan ook domeinnamen gebruiken met de merknaam erin. Alleen, als de importeur op deze manier dwarsligt dan is het lastig. De importeur heeft namelijk géén plicht het contract met de afnemers te verlengen. Hij mag dus deze oneigenlijke eis doorvoeren, net zoals hij de prijzen mag vertienvoudigen als hij daar zin in heeft.

Natuurlijk mag hij niet eenzijdig het huidige contract opzeggen op grond van deze eis. Deze eis staat er niet in, dus is het geen grond voor ontbinding. Maar als hij écht staat op overdracht dan komt uw nieuwe contract in gevaar. Je kunt dan natuurlijk wel terugvallen op parallelle import, maar dan moet je maar net een goedkope bron in het buitenland weten te vinden. Bovendien verlies je als niet-officiële verkoper wel een hoop status.

Arnoud

Een lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud
Foto: How to add a DisLike button on facebook in firefox?

Een lezer vroeg me:

Recent kwam mijn website (een colocated eigen server) onder vuur door een DoS-aanval van buitenaf. Ik heb toen mijn provider gevraagd maatregelen te nemen en met name de IP-adressen te filteren of blokkeren waar de aanval vandaan kwam. Zij weigeren dit echter omdat ze vinden dat ik het beheer moet doen op mijn machine. Ook zeggen ze dat het voor hen ondoenlijk is om maatregelen te nemen. Maar ik neem bij hen toch een dienst af, kan ik ze dan niet verplichten in te grijpen als de dienst niet goed werkt?

De plichten die de provider heeft, volgen primair uit het contract. De vraag is dus wat daar instaat over abuse en filteren. En als er niets staat, moet je uit de aard van het contract afleiden wiens verantwoordelijkheid dit moet zijn. Bij een eigen colocated server ben je als klant zelf verantwoordelijk voor het beheer; de plichten van de provider houden op bij de netwerkstekker. De vraag wordt dan dus, is een DDoS-aanval iets dat de stekker raakt of pas het apparaat waar die stekker in zit?

De klant kan zelf blokkeren op een eigen firewall maar dan zit zijn inkomende netwerkverkeer nog steeds vol. Droppen aan de buitenkant (netwerk van de ISP) is efficiënter, zeker, maar hoe weet de ISP dan welke adressen ze moeten droppen?

Een DDOS aanval zou ik eerder als iets van buitenaf zien, net zoals een hagelstorm. Je kunt het niet voorkomen, je kunt alleen de impact beperken. En dan wordt de vraag dus, wat moet een ISP doen om die impact te beperken. Zij hebben een zorgplicht, net zoals een huisbaas moet zorgen voor een goed dak in een huurhuis. Maar dat houdt ergens op: een hagelstorm met tennisbalformaat hagelstenen die onder een hoek van 45 graden binnenkomt en je kelderruitje eruit gooit, is overmacht. Je kunt dan geen vergoeding van je huisbaas eisen.

Verder speelt altijd de vraag tussen kosten en baten een belangrijke rol. Een dure maatregel tegen een uitzonderlijk probleem is niet billijk en hoeft niet te worden ingevoerd. Een goedkope maatregel tegen een routineprobleem moet er altijd zijn. En daartussen is het grijze gebied waar advocaten zich in thuisvoelen.

Ook speelt mee welke opvattingen er in de markt heersen: als iedereen vindt dat de klant dit moet doen, dan kun jij niet zomaar van de ISP eisen dat hij het oplost. Als de heersende mening is dat de ISP dit moet doen, dan kun je eisen dat jouw provider dat ook gaat doen.

Het is ontzettend moeilijk om iets te doen aan DDoS-aanvallen. Een tijd geleden las ik een uitgebreide review bij Tweakers over de technieken en mogelijkheden om het tegen te gaan. Maar fundamenteel is het nauwelijks op te lossen: er komt een berg verkeer binnen en dat moet je filteren.

Arnoud

Het gebruik van e-mailadressen en andere persoonlijke gegevens van mensen valt onder de strenge privacywet, de Wet bescherming persoonsgegevens. Deze schrijft voor dat je in principe alleen gebruik mag maken van zulke gegevens als je toestemming hebt. Recent heeft het overlegorgaan van privacywaakhonden, de Artikel 29-Werkgroep een opinie over toestemming gepubliceerd die uitwerkt hoe je toestemming moet krijgen. Hieruit blijkt nog maar eens hoe streng deze regels zijn, en hoe snel je in de fout kunt gaan.

Toestemming is het uitgangspunt, omdat de privacywet is gebaseerd op het idee dat de betrokkene zelf beslist wie wanneer zijn gegevens gebruikt. Gebruik van persoonsgegevens is dus een gunst en geen recht. Dit blijkt ook nog eens uit het feit dat men toestemming op elk moment mag intrekken van de wet.

Steeds meer sites en apps maken gebruik van persoonsgegevens als onderdeel van hun bedrijfsmodel. Spelletjes vragen toegang tot de vriendenlijst of het MSN-account zodat ze zichzelf kunnen promoten. Websites en advertentienetwerken bouwen profielen op zodat ze getargete advertenties kunnen tonen. Dit mag, maar hiervoor is wel apart toestemming nodig.

Het grootste probleem in de praktijk is dat mensen niet goed weten waar ze toestemming voor geven. Hoe veel sites zijn erniet waar men volstaat met “U geeft toestemming voor gebruik voor marketing” of “onze zorgvuldig geselecteerde partners mogen u mailen”, of met “ik aanvaard het privacyreglement” waarna je in tien pagina’s juridisch jargon mag nalezen wat men onder ‘privacy’ verstaat.

Dergelijke vormen van ‘toestemming’ vragen zijn expliciet niet genoeg, zegt de Werkgroep nu. Enkel en alleen als de toestemming gebaseerd is op een vrije beslissing, na geïnformeerd te zijn over wat er specifiek gaat gebeuren, is de toestemming rechtsgeldig. Een paar voorbeelden:

• Het aan hebben staan van Bluetooth is geen toestemming voor het ontvangen van reclameberichten via Bluetooth. Gaat men zelf naar een billboard toe waar staat “Hou je telefoon hier en ontvang onze aanbieding”, dan is dat lopen natuurlijk wel een vorm van toestemming geven.
• Medewerkers een mailtje sturen met daarin een voorbeeld (preview) van hun vermelding in het smoelenboek op intranet, gevolgd door een duidelijke “ja/nee” knop, levert toestemming op als mensen op “ja” klikken. Als de manager mails rondstuurt dat “nee” klikken “niet op prijs” gesteld wordt of “niet past bij onze professionele opvattingen”, is de toestemming niet meer rechtsgeldig.
• Een privacystatement linken onderaan elke pagina van een forum met daarin dat je gebruikersinformatie (naam, e-mailadres etcetera) gebruikt kan worden voor marketingdoeleinden is geen manier om toestemming te krijgen. Ook een expliciet akkoord vragen op het privacystatement is niet genoeg - wie gaat de marketing doen en wat voor marketing is dat dan?
• Een expliciete melding dat je e-mailadres wordt verstrekt aan bedrijven X en Y zodat die je reclame kunnen sturen voor hun producten is wél een vorm van toestemming, mits men maar op dat moment de verstrekking nog kan tegenhouden.

Het laatste item is gebaseerd op een opmerkelijk standpunt van de werkgroep omtrent sociale netwerksites. De werkgroep signaleert namelijk de trend dat zulke sites mensen min of meer dwingen in te stemmen met getargete advertenties als voorwaarde om lid te mogen worden van de site. En dat vindt men niet kunnen:

Considering the importance that some social networks have acquired, some categories of users (such as teenagers) will accept the receipt of behavioural advertising in order to avoid the risk of being partially excluded from social interactions. The user should be put in a position to give free and specific consent to receiving behavioural advertising, independently of his access to the social network service.

De zorg is terecht, maar ik heb wel moeite met deze consequentie. Het zou genoeg moeten zijn om vooraf te horen wat de site van plan is, waarna je kunt besluiten lid te worden of niet. Goed, bij sommige sites heb je vrijwel geen keuze, daar móet je lid van zijn (Facebook als tiener of Linkedin als professional). Heel misschien is het dan verdedigbaar.

Apps die je via die netwerkdienst kunt gebruiken, moeten apart toestemming vragen voor wat zij willen doen. En ook die toestemming moet expliciet en uitgebreid zijn. Niet alleen maar “This app wants to access your account”; nee, welke onderdelen en informatie worden benaderd en wat gebeurt daarmee? Verandert hoe de app werkt, dan moet apart opnieuw toestemming worden gevraagd.

Heeft de app bijvoorbeeld een nieuwe functie om je highscore te twitteren, dan moet apart gevraagd worden of deze geactiveerd mag worden. Ook moeten mensen vooraf zien wat er wordt getwitterd. En als ik dat standpunt hierboven goed begrijp, dan is zelfs te verdedigen dat de gebruiker het activeren van deze functie moet kunnen weigeren zonder gestraft te worden met een niet meer werkende app.

De wet noemt overigens enkele uitzonderingen op de eis van toestemming. Zo mag je gegevens zonder nadere toestemming gebruiken als dat nodig is voor het uitvoeren van een overeenkomst. Je mag dus bijvoorbeeld het adres van een klant aan je vervoerder geven zodat deze de bestelling kan bezorgen. Ook mag je in bijzondere gevallen zonder toestemming iemands gegevens gebruiken als dat noodzakelijk is voor een eigen zwaarwegend doel, én dat doel zwaarder weegt dan de privacy van de betrokkene. Dit is echter meestal niet van toepassing, behalve bij journalistieke publicaties kan ik er eigenlijk geen bedenken..

Arnoud